收藏 分享(赏)
下载资源 加入VIP,免费下载

深信服下一代防火墙AF 快速安装手册.pdf

上传人:HR专家 文档编号:8484424 上传时间:2019-06-29 格式:PDF 页数:77 大小:2.42MB
下载 相关 举报
深信服下一代防火墙AF 快速安装手册.pdf_第1页
第1页 / 共77页
深信服下一代防火墙AF 快速安装手册.pdf_第2页
第2页 / 共77页
深信服下一代防火墙AF 快速安装手册.pdf_第3页
第3页 / 共77页
深信服下一代防火墙AF 快速安装手册.pdf_第4页
第4页 / 共77页
深信服下一代防火墙AF 快速安装手册.pdf_第5页
第5页 / 共77页
点击查看更多>>
资源描述

1、0 SANGFOR NGAF 快速安装手册 1 技术支持说明 为了让您在安装,调试、配置、维护和学习 SANGFOR 设备时,能及时、快速、有效的获得技术支持服务,我们建议您: 1. 参考本快速安装手册图文指导,帮助你快速的完成部署、安装 SANGFOR 设备。如果快速安装手册不能满足您的需要,您可以到 SANGFOR 技术论坛或官网获得电子版的完整版用户手册 或者其他技术资料 ,以便你获得更详尽的信息。 2. 致电您的产品销售商(合同签约商),寻求技术支持。为了更快速的响应您的服务要求和保证服务质量,您所在地的 SANGFOR 的 产品销售商配备有经过厂家认证的技术工程师,会向您提供快捷的电

2、话咨询、远程调试及必要的上门技术服务。 3. 在不紧急的情况下,您可以访问 SANGFOR 的技术论坛,寻求技术问题的解决方案和办法。 4. 致电 SANGFOR 客服中心,确认最适合您的服务方式和服务提供方,客服中心会在您的技术问题得到解决后,帮助您获得有效的服务信息和服务途径,以便您在后续的产品使用和维护中最有效的享受技术支持服务,及时、有效的解决产品使用中的问题。 SANGFOR 技术论坛: http:/ 公司网址: 技术支持服务热线: 400-630-6430(手机 、固话均可拨打 ) 邮箱: 2 目录 技术支持说明 . 1 声明 3 前言 4 第 1 章 NGAF 系列硬件设备的

3、安装 . 5 1.1.环境要求 5 1.2.电源 5 1.3.产品接口说明 5 1.4.配置与管理 6 1.5.设备接线方式 8 第 2 章 NGAF 系列硬件设备的部署 . 9 2.1.NGAF 路由部署 9 2.1.1.NGAF 路由模式介绍 . 9 2.1.2.NGAF 路由部署案例 . 9 2.2.NGAF 透明部署 20 2.2.1.NGAF 透明部署介绍 . 20 2.2.2.NGAF ACCESS 环境部署案例 . 20 2.2.3.NGAF TRUNK 环境部署案例 28 2.3.虚拟网线 37 2.3.1.NGAF 虚拟网线部署介绍 . 37 2.3.2.NGAF 虚拟网线部

4、署案例 . 37 2.4.旁路镜像接口配置案例 44 2.4.1NGAF 旁路镜像部署介绍 44 2.4.2 NGAF 旁路镜像部署案例 . 44 2.5.混合部署 51 2.5.1.NGAF 混合部署介绍 . 51 2.5.2.NGAF 混合部署案例 . 51 第 3 章 NGAF 基本功能配置 . 62 3.1. DOS/DDOS 防护 62 3.1.1 DOS/DDOS 防护介绍 . 62 3.1.2 DOS/DDOS 防护配置案例 . 62 3.2. IPS . 67 3.2.1. IPS 功能介绍 . 67 3.2.2. IPS 典型配置案例 . 67 3.3. WEB 应用防护 .

5、 70 3.2.1.WEB 应用防护介绍 . 70 3.2.2.WEB 应用防护配置案例 . 70 第 4 章 密码 安全风险提示 . 75 4.1 修改控制台登录密码 . 75 3 声明 Copyright 2012 深圳市深信服电子科技有限公司及其许可者版权所有,保留一切权利。 未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。 SANGFOR 及 图标为深圳市深信服电子科技有限公司的商标。对 于本手册出现的其他公司的商标、产品标识和商品名称,由各自权利人拥有。 除非另有约定,本手册仅作为使用指导,本手册中的所有陈述、信息和建议不构成任何明示或

6、暗示的担保。 本手册内容如发生更改,恕不另行通知。 如需要获取最新手册,请联系深信服电子科技有限公司客户服务部。 4 前言 本手册仅 介绍 NGAF 设备安装部署的配置指导 和最基本使用方法 ,如需要更详细配置介绍,请查看随附光盘里的电子版用户手册或者登录深信服技术支持论坛下载详细电子版用户手册。深信服技术支持论坛地址 : http:/,详细电子版用户手册在资料 &文档 NGAF 下一代 应用 防火墙 用户手册 。 本手册以深信服 NGAF 1320 为例进行说明 。 各型号产品 硬件 规格存在一定差异, 但是设备配置以及基本使用方法一致,本手册适用于所有型号的 NGAF 设备。 5 第 1章

7、 NGAF 系列硬件设备 的安装 本部分主要介绍了 SANGFOR NGAF 系列产品的硬件安装。硬件安装正确之后,您 可以进行配置和调试。 1.1.环境要求 NGAF 系列硬件设备 可在如下的环境下使用 : 输入电压: 110V230V 温度: 0 45 湿度: 5 90 为保证系统能长期稳定 地 运行,应保证电源有良好的接地措施、防尘措施、保持使用环境的空气通畅和室温稳定。本产品符合关于环境保护方面的设计要求,产品的安放、使用和报废应遵照国家相关法律、法规要求进行。 1.2.电源 SANGFOR NGAF 系列 硬件设备 使用交流 110V 到 230V 电源。在您接通电源之前,请保证您的

8、电源有良好的接地措施。 1.3.产品 接口说明 6 图 1 SANGFOR NGAF 前 面板图 (以 NGAF 1320 为例) 1.CONSOLE(控制 )口 2.ETH1 3.ETH2 4.ETH3 5.ETH4 6.ETH5 7.MANAGE(管理 )口 1.图片仅供参考,不同型号的产品外观请以实物为准。 2. CONSOLE 口仅供开发和测试调试使用。最终用户需通过 网口 接入 设备 。 1.4.配置与管理 设备出厂的默认 IP 见下表: 接口 IP 地址 ETH0 10.251.251.251/24 NGAF 设备 支持安全的 HTTPS 登录,使用的是 HTTPS 协议的标准端口

9、登录。 如何登录 NGAF 设备控制台页面? 将电脑网卡与 NGAF 设备 ETH0 口接在同一个二层交换机或者直接将 ETH0 口和 电脑网卡用网线连接 ,通过 WEB 界面来配置 SANGFOR NGAF 设备。方法如下: 首先为本机器配置一个 10.251.251.X 网段的 IP(如配置 10.251.251.100),然后在 IE 浏览器中输入网关的默认登陆 IP 及端口 https:/10.251.251.251。 在 出现一个如下图的安全提示: 7 点击 是 后出现以下的登录界 面: 在 登录 框输入用户名和密码,点击 登录 按钮即可登录 NGAF 设备进行配置,默认情况下的用户

10、名和密码 为 admin/sangfor。 如果需要查看当前网关的版本号,点击 查看版本 , 即显示当前设备的版本信息。 8 1.5.设备 接线方式 在背板上连接电源线,打开电源开关,此时前面板的 Power 灯(绿色,电源指示灯)和 Alarm 灯(红色,告警灯)会点亮。大约 1-2 分钟后 Alarm 灯熄灭,说明网关正常工作。 请用标准的 RJ-45 以太网线将 ETH0 口与内部局域网连接,对 NGAF 设备进行配置。 设备正常工作时 POWER 灯常亮,接线的数据接口 LINK 灯长亮, NGAFT 灯在有数据流量时会不停闪烁。 ALARM 红色指示灯只在设备启动时因系统加载会长亮(

11、约一分钟),正常工作时熄灭。如果在安装时此红灯长亮, 请将设备 断电 重启,重启之后若红灯一直长亮不能熄灭,请与我们联系。 网口直接连接 MODEM 和交换机应使用直连线、连接路由器和电脑网口应使用交叉线。当指示灯显示正常,但不能正常连接的时候,请检查连接线是否使用错误。直连网线与交叉网线的区别在于网线两端的线序不同,如下图: 图 1 直连线、交叉线 线序 9 第 2章 NGAF 系列硬件设备 的 部署 本部分主要介绍了 SANGFOR NGAF 系列产品的 部署方式 和配置方法。 SANGFOR NGAF 硬件可以适应各复杂环境,根据常见应用场 景可以将部署方式分为路由部署,透明部署,虚拟网

12、线,混合部署。 2.1.NGAF 路由部署 2.1.1.NGAF 路由 模式介绍 路由部署 的典型应用环境是将 SANGFOR NGAF 设备以路由模式部署在公网出口,代理内网上网,像一个路由器一样部署在网络中。外网口接 ADSL 拨号或者公网线路,内网口接内网交换机。 2.1.2.NGAF 路由 部署 案例 客户环境 与需求 : 某用户网络是跨三层的环境,购买 NGAF 设备打算部署在公网出口,代理内网用户上网,公网线路是光纤接入固定分配 IP 的。 10 N G A F 设 备E T H 2 : 1 . 2 . 1 . 1 / 2 9G W : 1 . 2 . 1 . 2 / 2 9E T

13、 H 1 : 1 9 2 . 1 6 8 . 1 . 2 5 4 / 2 4三 层 交 换 机1 9 2 . 1 6 8 . 1 . 1 / 2 41 9 2 . 1 6 8 . 2 . 1 / 2 41 9 2 . 1 6 8 . 2 . 0 / 2 4公 网 运 营 商配置方法: 第一步:首先将设备开机,用网线接设备的 MANAGE 口( EHT0),将电脑网卡的 IP配置成 10.251.251.253,界面如下: 11 第二步:打开 IE 浏览器,输入 https:/10.251.251.251,即可到登录界面,输入设备出厂默认的账号密码 admin/sangfor,界面如下: 第三

14、步:配置外网接口,通过网络配置接口 /区域, 点击 需要设置成外网接口的接口,本案例中设置 eth2 为 WAN 口 , 并且设置好 IP 地址信息,界面如下 : 12 接口 类型 选择路由 基本属性 可以设置是否为 WAN 口和允许 PING。 连接 公网 链路的接口需要勾选 WAN口。 连接类型 包括静态 IP、 DHCP、 ADSL 拨号三种,根据该线路的特征进行配置,如果选择静态 IP,需要填写好 IP 地址 /掩码以及下一跳网关;如果该 接口是 DHCP 自动获得地址,则设置 DHCP,勾选是否需要自动获得网关;如果线路是 ADSL 拨号,则配置好拨号所需的用户名、密码和其他拨号参数

15、。 13 静态 IP 地址可以填写成“ IP/掩码 ”和“ IP/掩码 -HA”两种形式,后一种形式表示同步网口配置时,不同步 IP 地址,“ IP/掩码 -HA”的形式适用于 NGAF 设备双机部署的环境。 本案例中外网接口连接的是静态 IP 的光纤线路,所以选择静态 IP,并且配置 ISP 提供给该光纤线路的公网 IP 地址和下一跳网关。 线路带宽 设置公网链路的上下行带宽。点击 可以修改带宽单位,包括 KB/s, MB/s,GB/s。 链路故障检测 用于检测链路的好坏。如果需要进行链路故障检测,则可以点击 设置 按钮,设置检测方法,如下: 勾选 启用 ,开启链路故障检测。 链路检测方法包

16、括 DNS 解析和 PING,如果选择 DNS 解析则需要配置 DNS 服务器和解析域名,若开启 PING 检测,则填写 PING 检测 IP。同一个接口的 DNS 链路检测方法,DNS 解析和 PING 检测,只能选其一。本例中开启 PING 检测,通过 PING 目标 IP 为202.96.137.23 的地址来检测链路的好坏。 14 1. 接口的下一跳网关仅用于接口的链路检测和策略路由功能,设置了下一跳网关,不会在设备上产生 0.0.0.0/0 的缺省路由,需要手动设置默认路由。 2. 接口的线路带宽设置与流量管理的带宽设置没有关联,接口处的线路带宽设置用于策略路由的调度。 当外网多条公

17、网出口的时候可以利用带 宽进行选路,本案例不需要使用。 第四 步:配置内网接口。选择空闲网口、点击接口名称进入配置页面,配置内网接口接口类型为路由接口, WAN 口类型为否、配置 IP 地址等, 本案例中使用 ETH1 作为内网口,界面 如下图所示: 15 第五步:配置区域,配置完接口,需要在区域定义好接口所属的区域,本案例中需要将 ETH1 内网口定义成一个区域, ETH2 外网口定义成另外一个区域。主要作用是防火墙所有规则都需要调用区域来做。 进入网络配置接口 /区域 区域,配置 界面如下: 16 第六 步: 配置路由,需要配置一条到 0.0.0.0/0.0.0.0 的默认路由指向前置网关

18、 1.2.1.2。同时因为本例内网接口接的跨三层的多个网段,需要添加到各网段的静态路由到三层交换机, 进入网络配置路由静态路由, 配置界面如下: 17 第七步: 配置代理内网上网, 进入防火墙地址转换,新增源地址转换规则,界面如下 : 18 第八步:放通防火墙规则,由于防火墙默认禁止所有数据。需要在内容安全应用控制策略,新增一条规则,放通内网区到外网区的数据。界面配置如下: 19 第九 步: 基本配置完毕后,将设备接入网络中, eth2 口连接光纤, eth1 口接内网三层交换机。 1 设备 工作在路由模式时,局域网内电脑的网关都是指向 设备内网接口 IP 或指向三层交换机,三层交换机的网关再

19、指向 设备 。上网数据由 设备做 NAT 或路由转发出去。 20 2 当设备有多个路由接口时,多个路由接口可以设置同网段的 IP 地址,通过静态路由决定数据从哪个网口转发 。 3. 设备支持配置多个 WAN 口属性的路由接口连接多条外网线路,但是需要开通多条线路的授权。 2.2.NGAF 透明 部署 2.2.1.NGAF 透明 部署 介绍 当数据进出 NGAF 设备的网口处于透明接口模式时,设备相当于透明模式部署,视 为一根带过滤功能的网线。 一般在不方便更改原有网络拓扑结构的情况下启用 , 把 设备 接在原有网关及内网用户之间, 不要更改 原 有 网关及内网用户 的 配置,对 NGAF 设备

20、 进行一些基本 配置即可使用 ,透明 模式的主要特点是对用户做到完全透明 。透明接口分为 ACCESS接口和 TRUNK 接口。 2.2.2.NGAF ACCESS 环境 部署案例 客户环境 与需求 : 客户的网络拓扑如下所示, NGAF 设备做透明模式,内网接三层交换机,内网网段有 192.168.2.0/255.255.255.0、 192.168.3.0/255.255.255.0 两个 网段。 21 第一步:首先将设备开机,用网线接设备的 MANAGE 口( EHT0),将电脑网卡的 IP配置成 10.251.251.253,界面如下: 22 第二步:打开 IE 浏览器,输入 http

21、s:/10.251.251.251,即可到登录界面,输入设备出厂默认的账号密码 admin/sangfor,界面如下: 第三步: 配置外网接口,通过网络配置接口 /区域物理接口, 点击 需要设置成外网接口的接口,本案例中设置 ETH2 和 ETH1 口为透明口 , 并且设置为 ACCESS23 口,配置界面如下: 接口 类型 选择透明。 区域 选择接口 eth2 所属的区域。区域需要提前设置,本例选择 WAN,对于区域的设置请参考章节 3.2.1.4 区域设置。 基本属性 可以设置是否为 WAN 口。 连接上行链路的接口需要勾选 WAN 口。 连接类型 可以选择为 access 或者 trun

22、k。本案例中网口类型选择 access 口。一般情况下 access 接口属于 VLAN1,可以不修改,也可以把设置成其他 VLAN,但设备的两个接口必须在相同 VLAN。 高级配置 用来设置网口的工作模式, MTU, MAC 地址,如果需要修改,点击 设置 ,界面如下: 24 第四步:配置区域,配置完接口,需要在区域定义好接口所属的区域,本案例中需要将 ETH1 内网口定义成一个区域, ETH2 外网口定义成另外一个区域。主要作用是防火墙所有规则都需要调用区域来做。进入网络配置接口 /区域区域,配置界面如下: 25 第五 步:设置 VLAN 接口,为 VLAN 接口设置 IP 地址,则可以通

23、过 VLAN 接口的 IP地址登陆设备控制台做管理,本案例中设置 VLAN 接口 IP 地址为 192.168.1.2/24,进入网络配置接口 /区域 VLAN 接口设置界面如下: 26 第 六 步: 网络配置路由静态路由,添加 NGAF 设备上网的默认路由,同时添加 到达内网的静态路由,界面如下: 27 第七 步: 放通防火墙规则,由于防火墙默认禁止所有数据。需要在内容安全应用控制策略,新增一条规则,放通内网区到外网区的数据。界面配置如下: 28 第八步:基本配置完毕后,将设备接入网络中, eth2 口连接前置路由器, eth1 口接内网三层交换机。 2.2.3.NGAF TRUNK 环境部署案例 客户环境与需求: 客户网络拓扑如下所示,设备透明模式部署,内网交换机划分了 VLAN 但没有启用路29 由功能 ,前置路由器做各个 VLAN 的网关。内网网段有 192.168.2.0/255.255.255.0、192.168.3.0/255.255.255.0 两个网段,分别属于 VLAN2 和 VLAN3,交换机和路由器之间跑trunk 协议。需要将 NGAF 设备透明部署到路由器和交换机中间。 第一步:首先将设备开机,用网线接设备的 MANAGE 口( EHT0),将电脑网卡的 IP配置成 10.251.251.253,界面如下:

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报